Informative...da professionisti!

 
Le parole d'ordine sono (o dovrebbero essere): chiarezza, semplicità ed immediatezza.

Ad esempio io ho tentato anche di dare una veste grafica in grado di favorire la chiarezza comunicativa, e certamente, nel tempo, evolverò l'informativa migliorandone l'efficacia. O altrimenti, dovrò badare ai contenuti qualora volessi trattare i dati per finalità diverse ed ulteriori rispetto a quelle per cui sono stati raccolti (in ossequio all'art. 13.3 GDPR).

Volendo semplificare, ho fatto le seguenti considerazioni riferendomi all'art. 13 GDPR come se fosse una checklist, e così consiglio di fare ai singoli professionisti che trattano dati di tipo comune.
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
E qui, l'idea migliore può essere inserire l'informativa nella propria carta intestata.
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
Tipicamente, un singolo professionista non ha l'obbligo di un responsabile della protezione dei dati.
E dunque, per la quasi totalità dei casi l'ipotesi non è applicabile e non si deve inserire nulla.
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
Ora, pensando alle finalità, tratto dati personali dei miei Clienti e Fornitori per dare esecuzione alla prestazione contrattuale, per la gestione amministrativo-contabile e per effettuare le comunicazioni fiscali nonché assolvere gli obblighi di Legge (fra cui, la conservazione).
A pensarci bene, però, tratto anche dei dati senza che vi sia un contratto, per mantenere delle relazioni commerciali e avere uno storico dei contatti di altri professionisti e/o interlocutori.

I dati che tratto nella mia attività di professionista sono basati sull'esecuzione di un contratto (o per misure precontrattuali) o altrimenti sull'assolvere gli obblighi di Legge. Ho così individuato la base giuridica dei trattamenti che svolgo. Ora però devo preoccuparmi di avvisare gli interessati circa le conseguenze del mancato conferimento dei dati, ai sensi dell'art. 13.2 lett. f)
se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
I trattamenti che svolgo in assenza di un contratto o di un obbligo di Legge, ovverosia i contatti con i miei interlocutori, fondano la propria liceità sul mio legittimo interesse, e dunque

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
devo chiarire quale sia tale interesse perseguito, precisando dunque che consiste nel mantenimento di uno storico di contatti e delle mie relazioni commerciali.
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
Rispondo alla domanda: a chi invio i dati personali dei miei Clienti e Fornitori?
Nel mio caso, posso specificare che i destinatari saranno altri professionisti (ad es. il Commercialista o un mio consulente legale), soggetti eventualmente indicati dagli interessati, nonché Enti pubblici (ad es. Agenzia delle Entrate, INPS) ed  istituti di credito in relazione i pagamenti. Il tutto sempre entro le finalità dell'esecuzione del rapporto contrattuale e della gestione amministrativo-contabile.
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
Pensandoci bene, ho anche qualche servizio in cloud. Verifico dunque dove risiedano tali provider, e noto che sono negli Stati Uniti e che, nella loro privacy policy (che avrò cura di appuntarmi all'interno del mio Registro), indicano di aderire al Privacy Shield nonché l'adozione di clausole contrattuali tipo. Per semplicità indico dunque nella mia informativa che il trasferimento extra-UE avviene solamente per la fruizione di servizi e applicativi di provider risiedenti negli Stati Uniti per cui vige una decisione di adeguatezza della Commissione (fra cui il Privacy Shield).

Proseguendo, l'art. 13.2 indica alcune informazioni ulteriori da inserire, fra cui:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
E tale periodo devo definirlo in modo non generico, ma riferito alle finalità da perseguire: posso così ad esempio indicare i termini di prescrizione per quanto relativo al contratto e ai termini di conservazione di Legge.

Se la finalità è il perseguimento del mio legittimo interesse di storico dei rapporti commerciali, potrò indicare che conserverò i dati di contatto sino ad opposizione da parte dell'interessato.
b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
d) il diritto di proporre reclamo a un’autorità di controllo;
Tali formule possono essere agilmente ripetute all'interno dell'informativa, salvo non si prevedano modalità specifiche per l'esercizio di tali diritti.
f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Per meglio comprendere, rinvio ad un articolo sulle cc.dd. "decisioni automatizzate".
Ovviamente, nella maggior parte dei casi un singolo professionista non svolge questo tipo di trattamenti, e dunque non dovrà dire alcunché a riguardo.


Essere GDPReady è...da professionisti!

Commenti